Después de multar a British Airways con una multa récord de £ 183 millones a principios de esta semana, el regulador de privacidad de datos del Reino Unido ahora planea abofetear a la cadena hotelera más grande del mundo. marriott internacional con una multa de £ 99 millones ($ 123 millones) bajo GDPR por la violación de datos de 2014.
Este es el segundo aviso de sanción importante en los últimos dos días que golpea a las empresas por no proteger la información personal y financiera de sus clientes comprometida e implementar las medidas de seguridad adecuadas.
En noviembre de 2018, Marriott descubrió que piratas informáticos desconocidos comprometieron su base de datos de reservas de huéspedes a través de su subsidiaria de hoteles Starwood y se llevaron los datos personales de aproximadamente 339 millones de huéspedes.
La base de datos comprometida filtró los nombres de los huéspedes, las direcciones postales, los números de teléfono, las direcciones de correo electrónico, las fechas de nacimiento, el sexo, la información de llegada y salida, la fecha de la reserva y las preferencias de comunicación.
La filtración, que probablemente ocurrió en 2014, también expuso números de pasaporte no cifrados de al menos 5 millones de usuarios y registros de tarjetas de crédito de ocho millones de clientes.
Según la Oficina del Comisionado de Información (ICO), casi 30 millones de residentes de 31 países de Europa y 7 millones de residentes del Reino Unido se vieron afectados por la violación de datos de Marriott.
La investigación de la ICO encontró que Marriott no realizó la debida diligencia suficiente cuando compró Starwood y también debería haber hecho más para asegurar sus sistemas.
El año pasado, se introdujo en Europa el Reglamento General de Protección de Datos (GDPR) que obliga a las empresas a asegurarse de que la forma en que recopilan, procesan y almacenan datos es segura.
«El RGPD deja en claro que las organizaciones deben ser responsables de los datos personales que poseen. Esto puede incluir llevar a cabo la diligencia debida adecuada al realizar una adquisición corporativa y establecer medidas de responsabilidad adecuadas para evaluar no solo qué datos personales se han adquirido, sino también cómo se protege”, dijo la comisionada de información Elizabeth Denham.
«Los datos personales tienen un valor real, por lo que las organizaciones tienen el deber legal de garantizar su seguridad, al igual que lo harían con cualquier otro activo. Si eso no sucede, no dudaremos en tomar medidas enérgicas cuando sea necesario para proteger los derechos de los público».
El presidente de Marriott International, Arne Sorenson, dijo que la compañía estaba «decepcionada» con el anuncio de la ICO y que impugnaría la multa.